Kaval äri internetis ja Facebook´is – „Kuulsusest teisik“ küsib raha

Eile võis leida Riigi Infosüsteemi Ameti (RIA) Facebook lehelt hoiatuse: „ CERT Eesti annab teada – internetis levib skeem, mis petab kasutajatelt raha välja SMSi abil ja levitab ennast Facebooki kaudu. Nimelt lubab Kuulsustest leida Sulle sarnase kuulsuse. Teisiku pildi nägemiseks peab saatma tasulise SMSi, kasutustingimused on aga võimalikult märkamatud. Pärast teenuse kasutamist pakub Kuulsustest võimalust tulemused enda Facebooki lehele postitada, et ka Sinu sõbrad sama skeemi ohvriks langesid. Pole vaja ilmselt lisada, et sarnase kuulsuse pilti raha maksnud kasutaja ei näe. Tegu on uudishimulikelt raha välja petmiseks mõeldud “teenusega”. Kahtluse korral tuleks eritariifse kõne või SMSi hinda alati kontrollida Eesti mobiilioperaatorite kodulehtedelt.”

Kuulsusest teisik - tasuline teenus

Veebilehe Kuulsusest teisik uurimine sai alguse juba 20. märtsil, kui tähelepanelik Facebook kasutaja Estra kirjutas mureliku sõnumi Arvutikaitse Facebook lehele:

“Tere, Siin FB-s üleval selline reklaam „kuulsusest teisik”. Uudishimust laadisin üles pildi, misjärel programm analüüsis ja ütles, et leiti teisik 79% sarnasusega ning palus saata sms 17013. Nii nimetatud teisiku pilt avanes sms-ga tulnud koodi sisestamsiel veebilehel. Loomulikult ei ole see teisik minuga sarnane. Pilte salvestada ei saa, printida ka mitte. Kuskil ei ole kirjas sms hind ega muud infot kellel leht kuulub jne. Mis kõige hullem, lehel on Facebook’i nupp. Seda vajutades annad loa ja ligipääsu oma FB lehel, andmetele jne. Muuta, blokeerida, mitte kusagilt ei saa. Ilmselt on tegemist pahalastega , kes lisaks teenivad ”lollide” nagu mina pealt raha ka veel.

Sõnumi hind oli 3.50 eur. Kuna lugesin, et sellistele numbritele saatetud sms-d aktiveerivad teatud teenuse millega kasseeritakse sinu arvelt iga kuu teatud summa saates sulle sõnumeid, siis saatsin igaks juhuks uue sms-i sisuga” STOP”. Ka see on maksnud 3.50 eur. Vastuseks sain sms-i sisuga ” Vy ne podpisany na rassylku”. Kuid rohkem muret teeb siiski see, et lehel oleva facebooki nuppu vajutades avanes kastike nagu ikka ning selle kaudu andsin kõnealusele veebilehele või reklaamile , mis iganes see on, loa ja ligipääsu oma FB kontole ja andmetele“.

Ohud ja pettused internetis

Arvutikaitse kaasautorina saatsin järelpärimise kohe edasi Tarbijakaitseametile, kes pöörduski koheselt ka RIA poole, ning viimane leidis lehte uurides vajaliku olevat kirjutada eelkirjutatud hoiatus.

SMS teenuse tasulised numbrid

Täna sain Tarbijakaitseameti Finants- ja sideteenuste talituse juhtaja kt Keit Hints vastuse mu pöördumisele:

„Lugupeetud Priit Aasmäe

Pöördusite Tarbijakaitseameti poole seoses internetileheküljega www.kuulsusestteisik.eu.

Täname Teid, et teavitasite Tarbijakaitseametit ettevõtja ebasobivast tegevusest.

Tarbijakaitseamet on tutvunud kodulehega http://www.kuulusestteisik.eu ning teenuse täpsete tingimuste ja sisu väljaselgitamiseks teinud lehel läbi kogu teisiku leidmise protseduuri. 

 Enne kui tarbija SMSi saadab, tuleb lehe lõppu teave: „Tulemuste nägemiseks saada numbrile 17013 SMS kujul sk511763. Pärast SMS-i saatmist saad vastuse, milles sisalduv kood sisesta vastavale väljale ning sulle kuivatakse sinu tulemused. SMS-i saatmise hind on 3.5 EUR koos KM-ga. Küsimused ja pretensioonid saada aadressile tvojcelebritydvojnik@gmail.com. Post address: Sia “A1: Baltic”, Ģertrūdes 33/35-23, Rīga, LV-1011, Latvia. Phone number: 0207 194 4100. Abuse Report: http://aonebill.com/abuse.“ 

Tarbijakaitseamet leiab, et kuigi teave SMSi hinna ja teenuseosutaja kohta on olemas, jääb see tavatarbija tähelepanu juures märkamata (teksti nägemiseks on vajalik lehe allakerimine) ning ühtegi varasemat viidet võimalikele kulutustele ei ole. Tarbijakaitseamet alustab ettevõtja suhtes järelevalve menetlust, et kaupleja esitaks kodulehel teenuse tingimused ja hinna ning andmed teenuseosutaja kohta selgel ja kergelt märgataval viisil.

 Seoses Facebooki kontole ja tarbija arvutile ligipääsu saamisega, pöördus Tarbijakaitseamet Riigi Infosüsteemide Ameti poole, kus kontrolliti lehte http://www.kuulsusestteisik.eu ning mingit pahavara, mis ohustaks tarbija arvutit või Facebooki kontot, ei tuvastatud.

Tarbijakaitse infotelefonInimeste hoiatamine Teie kodulehel antud teenuse ohtudest, varjatud tingimustest ja kaasnevatest kuludest on kindlasti soovitatav.

 Lugupidamisega Keit Hints, Finants- ja sideteenuste talituse juhtaja kt

Veebilehe „Kuulsustest teisik“ omapära:

Kuulsusest teisku teadasaamine toimub 3 etapis: 1 etapp on avaleht, kus tuleb vajutada „Tahan seda teada saada“, 2 etapp laseb valida arvutist oma pildi või lasta veebikaameral pildistada, seejärel tuleb märkida silmad suu, nina, samuti märkida sugu ja vajutada Analüüsi. 3 etapp analüüsib pilti ja alles analüüsi lõpus, kui öeldakse, et leidsime sinuga sarnaneva kuulsuse ja saada SMS, kuvatakse alla kiri, mis on alljärgneval pildil näha:

Kaval äri internetis ja Facebook´is

Teenuse tingimused kuvatakse viimases etapis, need on vaevumärgatavad ning teade tasulisest teenusest pole näha.

See on väga kaval lähenemine veebilehe autorite poolt, kuna inimesed on juba hasardis, tähelepanu on eemale juhitud ja suure uudishimu rahuldamiseks jätkatakse SMS saatmist, tähele panemata kõige all pisikest kirja. Jälgige, kui suur vahe on viimasest pildireast kuni pisikese kirjani. Alles siis, kui lehte allapoole kerida, leiab täismahus teksti:

"Kuulsusest teisik" - Tarbijakaitse järelvaleve menetluses

Teenuse tingimused tulevad arusaadavalt nähtavale alles siis, kui lehte allapoole kerida.

Kuid kuna Tarbijakaitseamet alustas ettevõtja suhtes järelevalve menetlust, et kaupleja esitaks kodulehel teenuse tingimused ja hinna ning andmed teenuseosutaja kohta selgel ja kergelt märgataval viisil, siis on loota, et varsti on teenuse tingimused nähtavad juba esimest etappi ehk avalehte avades ning teenuse tingimused on toodud kohe viimase pildirea alla, et info oleks arusaadav.

Kas ka teenusepakkujad aktiveerivad teatud teenuse, millega kasseeritakse kasutaja arvelt iga kuu teatud summa saates talle sõnumeid, see ei ole hetkel teada.  Kuid kuna antud teema on juba ametik ja Tarbijakaitseameti menetluses, siis loota võib, et seda ei juhtu.

Kahjuks ma ei saa kontrollida, kas juba praegu on midagi muutunud ja lehe omanikud tasulise teenuse tingimused selgeks ja arusaadavaks muutnud, sest lehele “Kuulsusest teisik” minnes öeldakse, et (vähemalt) minul pole sellele teenusele ligipääsu:

Kui mõnel veebilehel on tegemist kirjaga, et saatke SMS, siis kindlasti uurige välja, mis firma on selle lühinumbri registreerinud ja kuna SMS teenused on alati tasulised, siis palju see maksab.

RIA (CERT Eesti) informeerib:

Kahtluse korral tuleks eritariifse kõne või SMSi hinda alati kontrollida Eesti mobiilioperaatorite kodulehtedelt:

Elisa: http://www.elisa.ee/vana/et/Eraklient/Hinnad/Eritariifsed-numbrid/SMS-luhinumbrid

Tele2: http://www.tele2.ee/klienditeenindus/eritariifsed_numbrid.html

EMT: https://www.emt.ee/pictures/pildid/dokumendid//sms_teenusnum_05_11.pdf

Arvutikaitse ja Arvutiturve tänavad Tarbijakaitseametit, et nad nii kiiresti oma pingelises töös suutsid reageerida meie pöördumisele antud teema kohta, et hoiatada tähelepanematuid kasutajaid mitte just meeldiva teenuse eest. Pealegi on paljud kasutajad teatanud, et raha sms-i näol maksnud kasutajad ei näe oma kuulsusest teisikut või kui keegi isegi näeb, siis sarnasus olevat sama, kui pildil oleksid pott ja pann.

Samuti täname tähelepanelikku kasutajat Estrat, kes pööras esimesena tähelepanu võimalikule pettusele. Oleme alati tänulikud, et kui keegi meie kodulehe lugejatest leiab internetist kahtlast teenust pakkuva või kahtlasest tegevusest jälgi jätva veebilehe, teataks meile.

arvutiturve.wordpress.com

Facebook´is levib (rämpsposti) trooja nimega Üllatus

Nädal tagasi hoiatas tuntud Emsisoft tõrjetarkvara arendav firma Facebook´is üsna kiiresti levima hakanud troojast, mis lingile klõpsates installeerub märkamatult kasutaja arvutisse, muutes selle spämmi tootvaks ja seda edasi levitavaks masinaks.

Arvuti nakatamine toimub nii: Kasutaja Facebook kontole saadetakse järgmise sisuga teade – “Mul on sulle üllatus http://www.nyhely……….blogspot.com.”

Facebook spam

Lingil klõpsates viib see ühele Blogspot kontole, mis omakorda suunab pahaaimamatu kasutaja edasi aadressile hxxp://facebook-surprise-kjeg.tk/. Ehkki see aadress viitab Facebook originaal lehele, ka välimus on sama, on see siiski vaid osavalt järgi tehtud võltsing.

Facebook fake site

spam trojan surprise.exeLehe võltsimisega originaalsaidi sarnaseks on püüdnud selle autor, kasutades sotsiaalse mõjutamise võtteid ehk siis inimestega manipuleerimist pettuse abil, uinutada kasutajate tähelepanu ja tekitada neis (võlts) turvatunde.

Sellel lehel hiirega klõpsides kuvatakse vaikimisi pildiikoon nimega “surprise.exe” (hxxp://facebook-surprise-kjeg.tk/surprise.exe).

Kui kasutaja sellel omakorda klõpsab, kuvatakse täiesti tavaline pilt kingitusepakiga.

trojan on Facebook

Kuid samal ajal, ilma et keegi sellest aru saaks, nakatatakse kasutaja arvuti troojaga, mis lisaks kõigele muule (häired arvutitöös jne.) muudab selle ka spämmi tootvaks- ja seda edasi levitavaks masinaks.

Lisaks veel sellele, kui fail  „surprise.exe“ on kord juba avatud, siis ta hakkab jälgima arvutikasutaja kõiki tegemisi arvutis,  süstides oma kuritahtliku koodi ka veebibrauseritesse nagu näiteks Internet Explorer või Mozilla Firefox. Kui aga kasutaja püüab oma Facebooki kontole sisse logida, siis pahavara salvestab ta kasutajanime ja salasõna, et nende abil siis saata spämme igale arvutikasutaja kontol olevale sõbrale edasi.

Facebook spam trojan

Siin on pahatahtlike saitide nimekiri, mis varjatult nakatavad kasutajate arvuteid troojasse (palun ärge püüdke neid avada, sest mõned lingid võivad olla veel aktiivsed).

* hxxp://ebyqerapinylyrato.blogspot.com  * hxxp://udenaqylinabig.blogspot.com  * hxxp://kuopyqupisee.blogspot.com  * hxxp://sebafelumunynuly.blogspot.com  * hxxp://sypupolufoigirisyc.blogspot.com  * hxxp://ogyohanofaeqis.blogspot.com  * hxxp://juyeliadileqaq.blogspot.com  * hxxp://gyseuodysecu.blogspot.com  * hxxp://pucoriiukiylyfo.blogspot.com  * hxxp://yycugecuisehe.blogspot.com  * hxxp://nyhelyofedoerej.blogspot.com  * hxxp://teejoubiimanuh.blogspot.com  * hxxp://timeteobyqufousy.blogspot.com  * hxxp://ooapetyuqatoda.blogspot.com  * hxxp://okojylimukikap.blogspot.com * hxxp://milurudutyfebusab.blogspot.com

Emisoft on tuvastanud selle pahavara nimega Trojan-Downloader.Win32.FraudLoad!IK ja hoiatab üleüldiselt: Olge alati tähelepanelikud ja ettevaatlikud selles suhtes, mida te oma arvutisse vastu võtate.

Suurt tähelepanu tuleb pöörata ka Emsisoft blogipostituse Warning: Surprise spam trojan on Facebook esimesele mõtlemapanevale lõigule, mis tõlkes kõlab sellisena: „Kas olete kunagi saanud oma Facebook’i sõpradelt teateid, mis kutsuvad teid külastama ja vaatama mingit saiti ja millele on lisatud põnevusttekitav lause nagu näiteks:“Hei, vaata seda, see on nii lahe“? Enamikel juhtudel teate saaja teebki seda , eriti veel kui teate saatis üks teie parimatest sõpradest, keda te täielikult usaldate….“

Mida teha, kui kasutaja on pahaaimamatult viibinud taolistel võlts-lehtedel?

Tänaseks on enamustel viirusetõrjetel sellele troojale vastukood andmebaasides olemas – skanneerige oma arvuti kindlasti kohe üle!

Samuti, enamuse viirusetõrjete veebis surfamise  reaalajakaitsed (kui need on viirusetõrjes esindatud nagu AVAST! Antivirus 5 Free-l) tuvastavad pahatahtlikud saidid.

Facebook´i teel leviv trooja

Samuti tuvastavad kuritegelike kavatsustega veebilehed brauserite turvapluginad. Mõnedest neist on juttu artiklis Kuidas turvaliselt e-posti lugeda.

Kindlasti muutke ära oma Facebook konto sisselogimise andmed, sest need on nii või teisiti küberkurjategijatel juba olemas. Muide, soovitav on ilma selletagi aega-ajalt oma kontode paroole ja kasutajanimesid muuta.

Kui antud trooja levik saab takistatud, siis ega see küberkurjategijaid heiduta. Tavaliselt on nii, et varsti luuakse kas sellel samal troojal põhinev modikatsioon või koostatakse täiesti uus trooja, mis hakkab uuesti samamoodi kasutajaid kimbutama. Kuna esimestel päevadel pole viirusetõrjetel nende vastu kaitset, siis kindlasti keegi jälle satub nende ohvriks. Olge tähelepanelik kõigi linkide suhtes, mida teile saadetakse!

PS. Hiljuti teatas Erika Kõik-ühes meedia player filmide ja muusika esitamiseks arvutis – DAPlayer Free kommetaarides, et ta arvuti on hakanud restarte tegema. Erika tiris playeri arvutisse 20. jaanuar ja vaid mõned päevad varem nähti esimesi märke eelnimetatud troojast. Samuti, varsti pärast seda püüdis mu blogi spämmifilter Erika kommentaari spämmifiltrisse kinni,  justkui oleks see rämpspost, mida see aga ei olnud. Kuid see näitab, et spämmifilter Akismet võis ikkagi kahtlustada tema arvutist spämmi saatmist. Erikal on konto Facebook´is.

Kuid kõige sellega ei taha ma sugugi süüdistada Erikat ega ütelda, et just nii oligi. See on vaid minu arvamus, kuidas võis olla. Kõik see võis olla tegelikult vaid kokkusattumus, kui mõlemad asjad juhtusid korraga toimuma valel ajal ja vales kohas. 🙂 Kusjuures on ka tõenäoline, et Erika arvutisse lihtsalt see player ei sobinud – Milline on parim programm.

Tuleb vaid meelde jätta, et varjatud troojatesse ei või arvuti nakatuda ainult Facebook´i saadetud linkidel klõpsates vaid ka e-posti teel saadetud linkidele vajutades või niisama internetis surfates kas välismaistel või ka eestimaistel lehtedel kolades, millesse on kräkkerite poolt süstitud pahatahtlik kood.

PPS: Suured tänud inglise filoloog Kersti Aasmäe´le, kes aitas mul Emsisoft hoiatavat blogipostitust tõlkida! 🙂

arvutiturve.wordpress.com

Andmepüük ehk õngitsemine ehk phishing

Margus sai 5.mail, HSBC pangalt kirja, milles tal paluti täpsustada oma kontoandmeid, kuna panga arvates on need ebakorrektselt esitatud.  Et pangateenust ei katkestataks, paluti tal kirja lisatud lingil oma privaatseid andmeid täiendavalt kinnitada. Linki oli viisakalt lisatud ka kontoomaniku nimi koos postkasti aadressiga (nimi@hotmail.com), et kirja saaja teaks kindlalt, et selle abil suunatakse ta spetsiaalselt just tema enda kontole. Lingi ees olev võrguprotokoll HTTPS kinnitab, et tegu on täiesti turvalise kliendi ja panga vahelise ühendusega, millele mitte keegi  kolmas ligi ei pääse. Lingil klikates viiakse Margus turvatud pangalehele, millel ta peab sisestama oma isikuandmeid –nime, aadressi, krediitkaardi andmed, logimisparoolid jne.

Margus aga pole rumal poiss. Kahtlust äratab temas juba see, et tal pole kunagi olnud selle pangaga tegemist. Samuti muudab ta ettevaatlikuks kirjas pöördumise vorm –  tervitusteksti algusesse Dear… pole kirjutatud mitte tema nimi vaid postkasti aadress.

Muide, nutikamad andmevargad siiski sellist viga ei tee vaid nimetavad personaalselt ainult kasutaja nime ja perenime või siis lihtsalt teatavad tervituses Dear Customer (Hea (panga)klient). Ja tavaliselt on neil ka kodutöö paremini tehtud, saates selliseid õngitsemiskirju kindlamale sihtrühmale, kes just kõige tõenäolisemalt võivad olla antud panga klientideks.

Näiteks, kui kiri oleks tulnud Hansapangalt või Ühispangalt, mille andmepüügipettustest saab lugeda siit või siit, ning kui Margus poleks teadnud, kuidas turvaliselt e-posti lugeda, siis selle kindla panga kliendina oleks ta võibolla isegi lingile vajutanud. Teadaolevalt satub selliste paroolipüügi õngitsemiste ohvriteks väga palju inimesi, kaasaarvatud vilunud arvutispetsialistid – loe sellest täpsemalt siit.

Ent Margus ei vajuta kunagi mõtlematult kirjades viidatud linkidele, eriti veel sellistele, milles küsitakse tema privaatsete isikuandmete sisestamist, vaid kustutab selle petukirja kohe ära. Ent enne seda saadab ta selle mulle täiendavaks kontrollimiseks, mis on tema poolt väga tore ja tervitatav, kuna niimoodi saan ka paljusid teisi arvutikasutajaid ohtlikest rünnakutest teavitada.

Mis lingi kontrollimisel selgus?

Kui juba kirjas endas tegin antud pangalingil paremkliki ja valisin Properties, mis näitab ära lingi tegeliku aadressi, siis ehtsa pangaadressi asemel kuvatigi mulle hoopis teine aadress ehk siis veebilsaidi aadress (software24h.vn/images/red.php), millele kilikates oleksin sattunud tõenäolisele võltspangalehele. Õigem oleks öelda, et antud aadressi abil oleks mind märkamatult suunatud võltslehele, millel püütaksegi privaatseid andmeid varastada. Selline suunamine toimub reeglina ülikiirelt, et kasutaja sellest aru ei saaks.

Peaks veel mainima, et selliseid petulinke on imelihtne teha. Näiteks, kellel on vaja kohe ja praegu minna Hansapanga avalehele võib vajutada sellele turvaliselt krüpteeritud pangalingile: https://www.swedbank.ee/private 🙂 🙂 🙂 Seega, kirjades või suhtlusportaalides, foorumites või suhtlemisprogrammides (MSN, Skype jne) saadetavad lingid ei pruugi alati olla need, millele nad viitavad!


Kui olin lingil paremklikki tehes veendunud, et tegu ei ole õige pangaadressiga, tegin ma järgnevalt siiski midagi sellist, mida selliste linkide puhul ei tohiks kunagi teha, ehk siis vajutasin sellele. Etteruttavalt olgu öeldud, et kasutasin virtuaalsüsteemi teenuseid, kuna phishing-saidid võivad lisaks tavalisele andmepüügi vargusele olla ka nakatatud kõikvõimalikku kurivarasse, mis laaditakse märkamatult ohvri arvutisse.

Ja oh imet! Sattusingi ilusasti pangalehe, millest isegi veebilehitseja lehepäis teatab uhkelt – Internet Banking: HSBC Bank UK – Mozilla Firefox. Ainult et, imelikul kombel on aadressiribal pangaaadressiks hXXp://myadmiral.com/images/hsbc-uk/1-2/HSBC-INTEGRATION/………, kuigi pangaleht ise näeb välja ehtne mis ehtne. Järgnevalt sulgesin lehe ja klikkisin uuesti lingil. Jällegi avati mulle pangaleht, ent mitme proovimise järel kuvati see leht juba uute aadresside abil:

hXXp://notnotfun.com/images/hsbc-uk/1-2/HSBC-INTEGRATION/….

hXXp://storyofaline.com/images/hsbc-uk/1-2/HSBC-INTEGRATION/……

hXXp://ragamalaproductions.com/hsbc-uk/1-2/HSBC-INTEGRATION/…..

hXXp://japantelugusamakhya.com/images/hsbc-uk/1-2/HSBC-INTEGRATION/……..

hXXp://www.heartlings.com/images/hsbc-uk/1-2/HSBC-INTEGRATION/……….

Järgmisena kasutasin ühte väga head veebiaadresside kontrollimislinki  vURL Online, mis leiab kiiresti pahatahtlikud või kahtlustäratavad veebisaidid ja domeenid, mis on musta nimekirja lisatud. Piisas sellest, kui  otsisin infot kirjas olnud tegeliku lingiaadressi (software24h.vn/images/red.php) abil. Sain vastuseks:

This domain is listed in the hpHOSTS blacklist. Website’s in this database should be viewed with extreme saution .

(See domeen on lisatud hpHOSTS musta nimekirja ja selle veebisaidi andmebaasidesse tuleb suhtuda äärmise ettevaatusega).


Järgnevalt kontrollisin neid aadresse mitmete URL-skanneritega, aga antud hetkel vaid vähesed teatasid, et need saidid oleksid kahtlustäratavad. Tõenäoliselt oli tegu niivõrd värskelt ülesriputatud õngitsemislehega. Seevastu mõne tunni pärast, kui nii ise kui ka tõenäoliselt paljud teised kasutajad olid teavitanud vastavaid turvalehti võimalikust pettusekahtlusest, kuvati hoopis teisi tulemusi.

Aitäh Margusele, et teatas kahtlasest kirjast ning oli nõus avaldama selle loo ka Arvutikaitse.ee-s ja Arvutiturve´s .

Loe ka sõnaseletust Mis on Õngitsemine ehk Phishing

4RK98YFJ3F3W

TCEUEOKL

Online veebilehe aadressi ehk URL skannerid

Kindlasti paljud juba mõtlevad, et miks ma kirjutan nii palju artikleid veebilehitsejate- ja veebilehtedel viibimise turvalisusest. Aga just nimelt sellepärast, et pahavaraliste skriptide ja –koodidega nakatatud veebisaidid ning veebilehed on saanud viimasel ajal üha suuremaks ohuallikaks arvutite nakatamisel kurivarasse. Uue põlvkonna  pahalased, kaasaarvatud nuhkvara ja troojalased, mis on väga osavalt peidetud veebilehtede aktiivsisusse (GIF-pildid, Java rakendused, ActiveX-juhtelemendid, audio-/videoklipid jne), jäävad kasutajatele veebilehte külastades täiesti märkamatuks. Sageli aga piisab lehesisul vaid ühest hiireklikist, kui juba alustatakse arvuti nakatamist pahavarasse.

Samuti saabub tihti kasutajate postkastidesse kirju, millesse on lisatud lingina veebilehe aadress, millele ettevaatamatult klikates suunatakse ohver andmepüügi- ehk phishing saitidele. Veel sagedamini aga jagatakse suhtlusvõrgustikes (Facebook, MySpace jne), foorumites või suhtlusprogrammides (Windows Live Messenger, Skype jne) mitmesuguste veebiaadresside linke, mida pakutakse sõpradele-tuttavatele vaatamiseks. Kunagi aga ei saa kindel olla, et just nendele linkidele klikates ei satuta pahavarasse nakatatud saitidele. Sellepärast tuleks alati enne veebilehe külastamist kahtlustäratavad ja tundmatud lingid igaks juhuks üle kontrollida veebipõhiste URL-skanneritega.

Skannerid:

LinkScanner® Online –  http://linkscanner.explabs.com/linkscanner/default.aspx – tuvastab pahatahtliku või kahtlase sisuga veebilehti .

ScanThishttp://scanthis.net/ – tasuta faili ja veebiaadressi skanner, mis põhineb Clam AV viirusetõrjel

Garyshood Virus Scanner –  http://www.garyshood.com/virus/ –  faili- ja URL skanner, põhineb F-PROT, AntiVir, BitDefender, AVG, ClamAV viirusetõrjetel.

NoVirusThanks Scan Web Addresshttp://scanner.novirusthanks.org/ -on nii faili- kui ULR -skanner, mille abil analüüsitakse failide ja veebilehede sisu.

NoVirusThanks Scan Websites for iFrameshttp://www.novirusthanks.org/services/scan-websites-for-iframes/ – võimaldab leida veebilehtedelt varjatud ja pahatahtlikke iFrame koode.

GRED http://www.gred.jp/ – aitab veenduda, kas sait on ohutu või ohtlik.

FortiGuard Web Filtering http://www.fortiguard.com/webfiltering/webfiltering.html – teatab veebilehtedest, mis võivad sisaldada kõikvõimalikku kahjulikku sisu ja jagab need sobivasse kategooriasse – õngitsemislehed, õelvarasse nakatatud lehed jne.

url scanners

Unmask Parasites http://www.unmaskparasites.com/kräkkerid kasutavad sageli ära blogide, foorumite, pildigaleriide jne turvahaavatuvusi,  nakatades neid parasiitidega.  Otsib lehtedelt pahatahtlikku sisu.

vURL Onlinehttp://vurl.mysteryfcm.co.uk/ –  peamiselt aitab tuvastada, kas kontrollitav veebisait pole kantud pahategude eest musta nimekirja.

Trend Micro Web Reputation Query – Online Systemhttp://reclassify.wrs.trendmicro.com/ – kontrollib veebilehtede mainet, et kas kontrollitavat aadressi pole lisatud kuritahtlike lehtede nimistusse.

PhishTankhttp://www.phishtank.com/ – kontrollib, kas ehk veebilehed pole mitte andmepüügi kahtlusega lisatud musta nimekirja.

McAfee Single URL Checkhttp://www.trustedsource.org/en/feedback/url?action=checksingle – otsib oma andmebaasidest, millisesse kategooriasse on otsitav veebileht määratud.

kuidas kontrollida, kas saiti või veebilehte võib usaldada

Finjan URL Analysis http://www.finjan.com/Content.aspx?id=574 – analüüsib veebilehtede sisu

Norton Safe Webhttp://safeweb.norton.com/ – küsimus: kas otsitav veebisait on turvaline?

Anubis: Analyzing Unknown Binarieshttp://anubis.iseclab.org/ -faili ja URL-skanner,  analüüsib veebilehti, leidmaks pahavara. Meeletult aeglane analüüsimine, aga põhjalik.

AVG Online Web Page Scanner http://www.avg.com.au/resources/web-page-scanner/ – kontrollib, kas veebilehed võivad sisaldada peidetud pahavara

Dr.Web Link Scanner http://vms.drweb.com/online/?lng=en – lehel on nii faili kui URL-skanner

Online Link Scan http://onlinelinkscan.com/

online link scanners

Wepawet –  http://wepawet.cs.ucsb.edu/index.php – püüab avastada veebipõhist õelvara.

Allthreats Network Traffic Scanhttp://www.allthreats.com/index.pl – viirusetõrjemoodulite Avira Antivir ja BitDefender abil analüüsib võimalikke pahavarasse nakatatud veebilehti .

Prevx FTP Scannerhttp://www.prevx.com/ftplogons.asp -kontrollib pahatahtlikke FTP aadresse.

Dasient Web Anti-Malware http://dasient.com/ – analüüsib veebilehti, et avastada neist pahavara. Lehel väidetakse, et veebilehtede nakatamine pahavarasse on võtnud epideemia mõõtmed. Kontrollimine nõuab paraku põhjalikku registreerimist.

NB! URL skannerid pole paremuselt ritta seatud, järjekord on täiesti juhuslik.


Trusteer Rapport – Online tehingute kaitsemeetod

Artiklis Küberkuritegevuse tippsklass – botnet Zeus kirjutasin põgusalt juhtivast online-pangandusturbega tegelevast firmast Trusteer, kellele kuulub au olla esimene, kes avastas hiljuti uusima variandi väga ohtlikkust troojalasest Zeus, mis on võimeline varastama pangakonto kasutajatunnuseid ja paroole nii Internet Explorer kui Firefox kasutajatelt ning seejuures jääda täiesti märkamatuks viirusetõrjete eest.

Trusteer andmetel on maailmas ligi 2 miljonit veebisaiti, mis võivad sisaldada pahavara, et seda salaja kasutajate arvutisse laadida. Iga päev avastavad nad 15 000 värskelt nakatatud veebilehte, millest 79 % moodustavad head ja ausad lehed, millesse on häkkerite poolt süstitud pahavaraline kood. Ka viirusetõrjete spetsiaalsed veebikaitsed ning veebilehitsejatele paigaldatavad turvapluginad-pahavarafiltrid suudavad avastada kõigest 37% õelvarast ja 42% õngitsemisjuhtudest (phishing).

Trusteer teatab sedagi, et tänapäevased uue põlvkonna  pahavaramoodulid on tehnoloogiliselt niivõrd arenenud, et mis iganes tõrjevahendil on ülimalt raske kindlaks teha, millal klahvinuhid salvestavad pangalehtedel olles kasutajate klavivajutusi või teevad ekraanist pilti, et varastada pangandusalaseid paroole ja finantsaalast teavet kuritegude kordasaatmiseks.

Trusteer Rapport on tarkvaraline turvarakendus, mis pakub kaitset nii identiteedivarguste vastu kui ka finantspettuste eest online tehingute sooritamisel. Kaitserakendust saab kasutada igal veebilehel, mis vajavad privaatsete kasutajanimede ja paroolide sisestamist – panganduse- ja e-postkasti kontodele sisenemisel, e-poodidest oste sooritades või sisenedes suhtlusvõrgustikesse nagu Facebook, Myspace, Orkut, Linkedin jne.

Turvafirma kinnitusel põhineb Trusteer Rapport kaitse revolutsioonilisel tehnoloogial, mis erineb täielikult nendest turvatehnoloogiatest, mida kasutavad teised tõrjeprogramme ja –vahendeid arendavad firmad. Rakendus töötab reaalajas pidevalt arvutis ja põhineb kolmel kaitsestrateegial – veebilehe kontrollimisel, sessiooni volitamata juurdepääsu kontrollimisel ja  klahvivajutuste krüpteerimisel. Rapport kaitseb kasutajat kontodele sisselogimisandmete sisestamisel (kasutajanimed,

paroolid) ning takistab pahavaral võltslehtedele sattumisel informatsiooni varastamise eest. Rapport kaitseb veebilehitsejaid lubamatu modifitseerimise eest ka siis, kui veebilehitsejad on suletud.

Rakendus töötab brauseritega Internet Explorer, Mozilla Firefox, Safari ja Google Chrome. Operatsioonisüsteemidest sobivad Windows XP, Vista ja Windows 7 ning MacOS Tiger, Leopard ja  Snow Leopard . Rapport on tasuta kõigile Interneti kasutajatele, sealhulgas finantsasutustele, e-kaubandusega tegelevatele firmadele, koolidele jne.

Paigaldusfaili tirimiseks sisesta Trusteer kodulehel oma nimi ja postaadress ning uueal avaneval lehel vajuta allalaadimislingile. Paigaldamine möödub lihtsalt, tuleb vaid arvestada, et kui arvutit kaitseb tulemüür, tuleb selles rakendus läbi lubada.

Kaitstud ja kaitsmata veebilehti saab tuvastada aadressirea lõpus olevast ikooni värvusest. Kui ikoon on roheline, siis veebikaitse sellele lehele on automaatselt  paigaldatud Trusteed poolt. Enamus veebilehti aga on kaitsmata, millest annab märku hall ikoon. Kui veebileht on kaitsmata, siis Rapport ei saa takistada klahvinuhkide ja muu nuhkvara tegevust. Et veebilehte kaitsta, tuleb klikata hallil ikoonil ja valida kollases kirjas Protect this Website.

Avades lingi Open Console, saab rakenduses muuta üldsätteid, vaadelda tegevusraporteid, kontrollida, milliseid turvahaavatuvusi leiti arvutist (Security Best Practicies) jne. Kui avada Security Policy lahtri link Edit Policy, mis on mõeldud edasijõudnud kasutajatele, saab täiendavalt oma äranägemise järgi seadistada rakenduse turvareegleid.

Kui kellelgi tekib antud rakendusega mistahes probleeme, siis küsimused ja vastused leiab siit:

http://www.trusteer.com/solutions/home-users/faq

http://www.trusteer.com/support/faq#

Trusteer Rapport tunnustused ja auhinnad leiab sellelt lehelt.

Mis on Võlts-turvaprogrammid ehk Rogue Security Software

Petis-, kelm-  või võlts-tõrjeprogrammid ehk Rogue Security Software on tarkvaralised rakendused, mis turvalisuse seisukohast näivad olevat kasulikud, kuid tegelikult vaid simuleerivad pahavara eemaldamist ning ei paku üldse kaitset. Need kuvavad ekslikke hoiatusi ja teateid, millega hirmutatakse kasutajaid, et nende arvuti on nakatunud ohtlikusse pahavarasse ning sellega püütakse meelitada antud programmi ostma. Vahetevahel nimetatakse taolisi võlts-tõrjeprogramme ka paanikatarkvarakas ehk scareware´ks.

Võlts-turvaprogrammide nimed sarnanevad sageli tuntud tõrjeprogrammide nimedega, püüdes sellega eksitada kasutajaid programmi arvutisse paigaldama. Sisusuliselt on nende puhul siiski tegu pahavaraga, mille eesmärgiks on varastada kasutajate raha ja privaatset infot või paigaldada selle abil süsteemi teisi kuritahtlikke rakendusi, mis kahjustavad ja aeglustavad arvutitööd või avavad isegi varjatud tagauksi (backdoor) uuteks kuritahtlikeks tegevusteks.  Samuti võivad nad keelata Windows Update värskenduste saamise, rikkuda Windows rakendusi, sulgeda ehtsate tõrjeprogrammide töö või takistada ligipääsu mõnele aktuaalsele veebisaidile nagu näiteks tõrjeprogrammide kodulehtedele.

Kui veebibrauserid on turvaliseks seadmata ja ei kasutata turvapluginaid nagu WOT – Your Safer Web, McAfee SiteAdvisor, Finjan SecureBrowsing, Prevx SafeOnline, Netcraft Anti Phishing Toolbar jne, võidakse pahatahtlikel veebiehtedel sageli kuvada hoatavaid hüpikaknaid, mis teatavad, et arvutisüsteem on ohustatud ja vajab kiiret puhastamist. Tavaliselt on nii, et kui sellisel hüpikakna reklaamil klikata ükskõik millisele nupule, näiteks soovitakse seda ristist kinni panna, alustab see siiski koheselt pahalaste arvutisse allalaadimist.

Samuti võidakse e-kirjades pakkuda linke „suurepärase“ tõrjeprogrammi tirimiseks või pakutakse neid kirjamanustena avamiseks. Võlts-programmid võivad arvuti nakatada troojate või nuhkvaraga pahatahtlikelt saitidelt justkui süütut multimeedia koodekit-, ekraanisäästjat-(screensaver) või isegi tavalist pilti alla laadides, tihti võib neid saada ka peer-to-peer (P2P) failijagamisprogrammide vahendusel.

Väga tihti satub pahavaraline võlts-turvaprogramm kasutaja arvutisse kasutaja enda teadmatusest, kui ta tuttavatelt ja sõpradelt nõu küsimata otsib internetiotsingute kaudu omale väärt tõrjeprogramme ja laadib need pahaaimamatult arvutisse täiesti suvaliselt lehelt, kontrollimata nii lehte ennast kui ka programmi. Kuna ka programmil on kõlavalt ilus nimi ja selle reklaamtekst lubab arvutis lausa imesid korda saata, või sarnaneb see programmi nimi juba teada/tuntud tõrjeprogrammi nimega, nakatabki nii kogenematu kasutaja oma arvuti teadmatult.

Enne kui laaditakse kasutajale veel tundmatu, ent meelitavalt hea nimega turvaprogramm arvutisse, tasub otsida selle programmi kohta infot netist ja kindlasti kontrollida alljärgnevatelt lehtedelt, kas seda pole seal pahatahtlikena juba nimetatud:

http://www.lavasoft.com/mylavasoft/rogues/latest – üks paremaid ja informatiivsemaid lehti petturprogrammide tuvastamiseks.

http://en.wikipedia.org/wiki/Rogue_security_software – kerides veidi allapoole leiab nimekirja võltsprogrammidest (Partial list of rogue security software)

http://roguedatabase.net/RogueDL.php# – võltsprogrammide nimekiri, mida pidevalt uuendatakse

http://www.freepcsecurity.co.uk/2009/01/16/list-of-known-malicious-sites-rogue-software/ – lisaks pahatahtlike programmide nimekirjale leiab siit ka veebilehtede nimed, mida tuleks vältida.

http://rogueantispyware.blogspot.com/ –  Sunbelt Rogue  Antispyware blog – kõige parem on otsida võimalikke võlts- tõrjeprogramme, kui leida blogi paremast reast Archive ja vajutada vastavatele kuupäevadele.

PS. Paljud välismaised saidid soovitavad järjekindlalt siiamaani otsida pahavaraprogramme veebilehelt nimega Spywarewarrior.com. Mina seda ei soovita või vähemalt ei soovita uskuda kõike seda, mis seal kirjas on. Spywarewarrior lehte on viimati uuendatud 4.mail 2007, seega pole seal kõik enam kuld, mis hiilgab.

Viimati toimetatud 9. mai 2010.a.

Ausad kelmid Natta.com`ist ehk …

… kuidas kiiresti raha tuulde lennutada.

Viimases artiklis Ikka veel rämpspostinduse “pärlitest” mainisn ära ka Elioni vahendatud partneri Natta.com reklaamkirja pelakirjaga „Tahad tasuta lennata“. Nimetasin seda tühireklaamiks sellepärast, et oma väljendusviisilt ei avaldanud see mulle vähimatki muljet ning seetõttu ei avanud ma isegi pilte, et asja edasi uurida. Kahju küll, sest vastasel juhul oleksin saanud ehk juba varem kirjutada hoiatuse, et kuidas on võimalik mõnel netifirmal ausal teel omastatada kampaaniast osavõtjate raha.

Hoiatusega jõudis ette Kanal 2 uudistesaade Reporter , mis eilses, 9.aprilli saatelõigus antud teemal peatus. Loo autor Üllar Luup intervjueeris ka ühte kannatanut, kes kampaania olemust lähemalt tutvustas. Seega, nii väljendi „ausad kelmid“ kui ka ausate sulide paljastamise au kuulub eelkõige just neile.

Seekord avasin ka mina oma postkasti tulnud reklaami pildid ja hakkasin kampaaniat samm sammult lähemalt uurima.

Kõigepealt avasin kirja päise ning kontrollisin Google otsingut kasutades üle nii kirja saatja- kui vastuse saaja aadressi.

Kuna kasutan turvalist surfamist tagavat pluginat WOT – Your Safer Web, siis kohe @natta.com sisestamise järel kuvati mulle punased hoiatusrõngakesed, mis teatavad, et tegu on väga halva (very poor) saidiga. Kusjuures Delfi foorumis Naistekas nimetatakse natta.com veebisaite kasutajate poolt otseselt rahavarasteks.

Kui lõin Google otsingusse vastuse adressi reklaam@hot.ee, siis esimese valikuna juhatati mind Elion hinnakirjani, kus on kirjas ka vahendamisteenuste hinnad, mis võimaldavad Elionil e-maili teel saata firmade pakkumisi neile kasutajate, kes on reklaami saamiseks loa andnud. Kuidas kasutajad saavad Elioni partnerite reklaampakkumisi lubada-keelata, sellest saab lugeda siit.

Edasi klikkisin lingile Klõpsa ja võida ning uue veebilehe hinnadsulle.com avanemisel torkas samuti esimesena silma just turvaplugina WOT – Your Safer Web punane hoiatus aadressirea ees.

Nüüd aga, kui lugeda hoolikalt veebilehel olevat infot, mis kampaaniapakkumises kirjas on, siis polegi korraldajatele midagi ette heita, sest reklaamikavalusi ei saa pidada pettusteks.

Üheks kavaluseks on see, et suure punase reklaamriba alla on tähelepanu hajutamise mõttes samuti kahvatupunaselt kirjutatud, ent tunduvalt väiksemalt, read: „Sisesta enda andmed ja sul on võimalus võita imeline tutvumislend purilennukiga. Samaaegselt liitud teenusega.“

Kasutaja üldjuhul arvab, et oma mobiilinumbri sisestamisel ja selle kinnitamisel liitub ta teenusega, mis võimaldab tal oma unistusi täide viia ehk võita imeline tutvumislend purilennukiga. Ent paraku ei süüvi ta enam reklaami lõpus olevasse veel pisemas kirjas olevatesse täpsustavatesse andmetesse, milles teatatakse:Iga 250-s liituja võidab imelise tutvumislennu purilennukiga. Kas Sa oled 18-aastane? Kui ei, siis pead teenusega liitumiseks vanematelt luba küsima. Auhindu on piiratud koguses. Auhind toimetatakse võitjale kätte. Kampaania kestvus: 1. märts – 30.aprillini 2010.Teenuse sisu: MÄNGUD klubi. Liitud iseuueneva teenusega, mis annab võimaluse iga nädal alla laadida 7 mängu. Teenuse hind on 50 krooni nädalas. Teenuse lõpetamiseks saada SMS “stop MANGUD“ numbrile 1818. Lisainfo telefonilt 1818 või aadressil: support.ee@timwe.com”

Nagu näha, alles siin on täpselt välja toodud teenuse sisu, mille tegelik olemus seisneb liitumises klubiga Mängud. Juba ainuüksi teenuse aktiveerimisel loovutab liituja 50 EEK-i ja kui ta ei oska mõista sõnapaari „iseuuenev teenus“ tähendust, siis teenust koheselt lõpetamata korjatakse ta mobiiliarvelt veel järgminegi nädal ja ülejärgmine nädal jne 50 krooni teenustasu juurde, kas siis kasutaja seda teenust aktiivselt kasutab või mitte.

Kui aga rääkida TIM w.e. kampaaniatingimusest, et ainult  iga 250-s liituja võidab imelise tutvumislennu purilennukiga, siis Repotreri saatelõigus mainiti võimalust, et see on olematu pakkumine. Kusjuures see oletus võib isegi õige olla, sest kui isegi tingimustes teatatakse lendamisvõimaluse kohta, mis ei saa kuidagi otsa lõppeda nagu mõni toode, et auhindu on piiratud koguses ja pealegi toimetatakse see veel kasutajale isiklikult kätte, eeldatavalt Portugalist, kus asub TIMwe peakorter, siis selline mõttetu raha laristamine isegi kliendi kui kuninga heaks tundub küll uskumatu olevat. Klienti peeti kuningaks küll Eesti taasiseseisvumisaastatel, kui palju kopeeriti järgi välismaisest teeninduskultuurist, kuid nüüdseks on paraku kliendist saanud taas nöörimis- ja nöökimisobjekt.

Lõin ka lisainfo aadressi support.ee@timwe.com Google otsingusse ja sain märksõnu nagu “räpane äri, tasulist teenust klientidele pähe määrinud (sellest Tarbijakaitse teatest täpsemalt siin), liitumislõks, mõttetud sõnumid” jne.

TIMwe headeks partneriteks Eestis on hetkel TELE 2 ja EMT.

Teisest kahtlase sisuga kirjast, mille läbi on inimesed petta saanud ja mille vahendajaks nagu sellegi kirja puhul oli jälle Elion hot.ee postiteenus, saab lugeda siit.

PS. Kui keegi arvab, et mul on mingi eriline vaen Elion ees, siis nii see ei ole. Kui kasutaksin mõne teise postiteenusepakkuja vahendamisi, siis tõenäoliselt oleks siin küll sama jutt, kuid just nimelt neist teistest reklaampostituste vahendajatest.

Taoliste kirjde puhul on kõige tähtsam tutvuda väga põhjalikult kõigi teenuste tingimustega, mis kampaanialehelt leida võib,  ja seejärel kindlasti otsida infot edasi internetist antud firma kohta. Kui on juba olemas kannatajaid, siis kindlasti on sellest teatanud erinevad inimesed erinevates foorumites ja/või ka Tarbijakaitse. Antud artikkel juhatabki teed, kuidas saab samm sammult nö tegelikku pilti kokku panna kampaaniaid pakkuvatest firmadest.

Kui aga kasutaja on juba aktiveerinud teenuse, kas selle või mõne teise analoogse iseuueneva teenuse, siis oleks mõttekam neist koheselt loobuda.

Kindlasti tasub ikka ja jälle meeldetuletuseks läbi lugeda meelespea – Kuidas turvaliselt e-posti lugeda.

Repoter.ee samateemaline videolõik pealkirjaga „Interneti petuskeemid loodavad inimliku eksimuse peale“ asub siin.

%d bloggers like this: